Sonntag, 22. Juli 2012

Was ist ein Risikomanagement nach der Norm ISO 31000:2009?

Wäre die ISO 31000:2009 eine "Anforderungsnorm" (wie die ISO 9001:2008) deren Erfüllung durch eine Zertifizierung nachzuweisen wäre, wäre ein Risikomanagement nach der ISO 31000:2009 ein Risikomanagement, welches den Inhalten (insbesondere den Anforderungen") entspricht. Jetzt enthält die ISO 31000:2009 keine Anforderungen, sondern Grundsätze und Leitlinien (in Österreich: Richtlinien), und ist nicht zur Zertifizierung vorgesehen (... kann aber zertifiziert werden ...). Die ISO 31000:2009 ist aber eine "Leitliniennorm", die keine Anforderungen stellt, sondern Leitlinien gibt. Bei einem Risikomanagement kann man durchaus auf Inhalte und Strukturen der ISO 31000:2009 zurückgreifen, braucht dies aber nicht so unbedingt zu tun. So können in Anlehnung an Abschnitt 2 "Terms and Definitions" durchaus Begriffe eines individuellen Vokabulars genutzt werden. Die vorgegebenen Begriffe sind nicht generisch. Ebenfalls können in Anlehnung an Abschnitt 3 "Principles" eigene und individuelle Grundsätze formuliert werden und die vorgeschlagenen Grundsätze entweder modifiziert oder ersetzt, oder ersatzlos gestrichen werden. Die vorgegebenen Grundsätze sind nicht generisch. Die Leitlinien des Abschnitts 4 "Framework" und des Abschnitts 5 "Process" werden, da sie generisch sind, übernommen und gegebenenfalls modifiziert.

  

Risikomanagement - Grundsätze des Standards ISO 31000:2009

Der Risikomanagementstandard ISO 31000:2009 "Risk Management - Principles and Guidelines" bringt in seinem Abschnitt 3 "Principles" einen Satz von 11 Grundsätzen mit.

Diese Grundsätze bringen Verständnis und sorgen für Unverständnis gleichermassen!

Beispiel - Abschnitt 3 h: "Risk management takes human and cultural factors into accout."
Dazu der Kommentar eines Vorstands: "Kann ich nicht brauchen; bei uns geht es um Zahlen, Daten und Fakten."

Beispiel - Abschnitt 3 b: Risk management is an integral part of all organizational processes."
Dazu der Kommentar eines Beraters: "Macht klar, dass Risk Management nur "integriert" mit den Prozessen, insbesondere den wertschöpfenden und rechnungslegenden Prozessen des Unternehmens sinnvoll ist."

Über alle diese 11 Grundsätze lässt sich hervorragend diskutieren. Tatsache ist: Im Gegensatz zu den Abschnitten 4 "Framework" und 5: "Process", sind die Inhalte des Abschnitts 3 nicht generisch, sondern gehen von bestimmten grundlegenden Axiomen aus, die unternehmensspezifisch sind. Nicht jedes Unternehmen will "human and cultural factors" berücksichtigen. Es mag dazu gute Gründe haben. Nichts hindert es daran, als einen seiner eigenen Grundsätze z. B. "Risk management ist based on numbers, data and facts." zu formulieren und den nicht gewünschten Grundsatz der Norm zu streichen.    

Dienstag, 10. Juli 2012

Komplexität


Komplexität ist ein Begriff für eine Eigenschaft eines Sachverhalts.
Komplexität ist uneinheitlich definiert.

Ein System, welches komplex ist:
  • hat viele Elemente, die sich verändern können
  • hat viele Beziehungen, die sich verändern können
  • ist offen oder teiloffen in Bezug auf Austausch von Elementen mit seiner Umgebung
  • ist offen oder teiloffen in Bezug auf Beziehungen zwischen System und Umgebung
  • hat eine Dynamik, die durch die Veränderung mit der Zeit gegeben ist
  • ist nicht 1:1 in Bezug auf Ursache und Wirkung, sondern n:m
  • ist nicht ohne weiteres umkehrbar nach Veränderungen
  • ist nicht linear in der Beziehung zwischen Eingabe und Ausgabe
Ein komplexes System ist nicht vollständig vorhersehbar. Seine Zustände in der Zukunft sind ungewiss. Prognosen sind nicht sicher. Für die Beschreibung derartiger Systeme wird gerne "die Ungewissheit der zukünftigen Entwicklung" formuliert, welche die Komplexität in anderen Worten zum Ausdruckt bringt.

  • Typische gering komplexe Systeme sind einfache technische Maschinen.
  • Typische komplexe Systeme sind soziale Systeme ("mehr als ein Mensch").
  • Typische hoch komplexe Systeme sind hybride Systeme ("Unternehmen als soziales + juristisches + technisches + ökonomisches System").

Komplexe Systeme bringen in Bezug auf Ziele, die in ihnen erreicht werden sollen, Risiken mit sich. Risiko ist die Wirkung von Ungewissheit (Unsicherheit) auf Ziele (nach der Definition von Risiko in der Norm ISO 31000:2009). Risikomanagement ist (auch) Komplexitätsmanagement.

Sonntag, 1. Juli 2012

Risikomatrix: Ein-, zwei-, drei- oder vierdimensional?

Die klassische Risikomatrix als mehr oder weniger quantitative Bewertung ist in Einklang mit der unternehmerischen und normierten Praxis zweidimensional: in den orthogonalen Koordinaten Eintrittswahrscheinlichkeit (eines Ereignisses) und Auswirkung (eines Ereignisses). Diese Orthogonalität legt die Bildung eines Produkts aus Eintrittswahrscheinlichkeit und Auswirkung nahe, welches eine eindimensionale Bewertung von Risiko ist.  Die FMEA-Methodik der Risikobewertung von Fehlern ist in dieser Logik eine dreidimensionale Matrix mit der Risikoprioritätenzahl aus dem Produkt dreier Bewertungen als eindimensionale Bewertung von Risiko.

Man kann - ob das sinnvoll ist oder nicht - weitere Eigenschaften von Risiko quantitativ bewerten und diese  Eigenschaften als weitere Koordinaten einer höherdimensionalen Matrix auffassen. Beispiele weiterer quantitativer Eigenschaften von Risiko können sein:
  • Die zeitlich Nähe des Risikoereignisses.
  • Das Ausmass der Vernetzung des Risikos mit anderen Risiken.
Ob Risiko mit Hilfe von ein, zwei, drei oder mehr Eigenschaften bewertet wird, ist keine Frage von richtig oder falsch. Die erste richtige Frage ist vielmehr:
  • Welche Eigenschaften eines Risikos sind erforderlich, um es beurteilen zu können? Reicht die Bewertung einer einzigen Eigenschaft, oder braucht es die Bewertung mehrerer Eigenschaften?
Die zweite richtige Frage ist:
  • Können die erforderlichen Eigenschaften mit angemessener Genauigkeit ermittelt werden?
Die dritte richtige Frage ist:
  • Ist der Aufwand der Beurteilung und der Steuerung eines Risikos angemessen in Bezug auf den Nutzen des Risikomanagements?